توصل الباحثون قبل عدة سنوات إلى اكتشاف مثير للقلق، حيث تم تحويل تطبيق أندرويد شرعي موجود في متجر “غوغل بلاي” إلى تطبيق ضار باستخدام مكتبة تم استخدامها من قبل المطورين لتحقيق عائدات من الإعلانات.
ونتيجة لذلك، أصيب 100 مليون جهاز برمز خبيث تسبب في اتصالها بخوادم يسيطر عليها المهاجمون، مما أدى إلى تنزيل تطبيقات سرية، واليوم يتكرر هذا السيناريو.
حيث أفاد باحثون بوجود تطبيقين جديدين تم تحميلهما من “غوغل بلاي” 11 مليون مرة، وهما مصابان بنفس نوع البرامج الضارة، ويعتقد الباحثون من كاسبيرسكي أن مجموعة أدوات تطوير البرامج الضارة التي تدمج قدرات الإعلان هي المسؤولة مجددًا.
حرفية ذكية
تعرف مجموعة أدوات تطوير البرمجيات، المعروفة باسم SDK، بأنها تطبيقات تسهل على المطورين إنشاء التطبيقات من خلال تبسيط المهام المتكررة. ولكن عند استخدامها بشكل غير صحيح، يمكن أن تدعم هذه الأدوات غير الموثوقة عرض الإعلانات، بينما تقدم في الخفاء طرقًا متقدمة للتواصل مع الخوادم الضارة، مما يسمح بتحميل بيانات المستخدم وتنزيل التعليمات البرمجية الضارة في أي وقت.
تعرف البرامج الضارة التي تم اكتشافها باسم Necro، وتستخدم بعض المتغيرات تقنيات التخفي، وهي وسيلة نادرة الاستخدام في البرامج الضارة.
عند إصابة الأجهزة، تتصل بالتحكم المركزي، حيث ترسل طلبات ويب مشفرة تحتوي على معلومات حول الأجهزة المخترقة. وتتميز وحدة SDK الضارة ببرمجيات تخفي بسيطة لكنها فعالة للغاية، وتقوم بتنزيل حمولات إضافية تُثبت وتُستخدم لأغراض متنوعة على كل جهاز مصاب.
التطبيقات المصابة
وجد الباحثون أن برامج Necro موجودة في تطبيقين على “غوغل بلاي”. الأول هو Wuta Camera، الذي تم تحميله 10 ملايين مرة، ويحتوي على SDK ضار. وقد تم تحديثه لإزالة المكون الضار. الثاني هو Max Browser، الذي تم تحميله حوالي مليون مرة، ولم يعد متوفرًا في “غوغل بلاي”.
علاوة على ذلك، تم رصد Necro في مجموعة متنوعة من تطبيقات أندرويد المتاحة في أسواق بديلة، وغالبًا ما تروج لنفسها على أنها إصدارات معدلة من تطبيقات شرعية مثل واتساب.
